個人情報の第三者提供について詳しく解説！トラブルを防ぐポイントとは

安全・高セキュリティな本人確認を実現！いま話題の「eKYC」をご存じですか？
→解説資料を無料でダウンロードする

企業が収集したユーザーの個人情報を、同意のもとで第三者に提供することを「第三者提供」と言います。個人情報を第三者に提供する際は、第三者がどのように情報を利用するのか特定する必要があります。また、情報を第三者提供するという事実を、ユーザーに分かりやすく伝える義務もあります。

第三者提供によるトラブルを防ぐには、どのような条件で第三者提供は実施され、ユーザーからどのように同意を得るのかを知っておきましょう。

今回は、個人情報の第三者提供をする際に、トラブルにならないためのポイントを紹介していきます。

個人情報の「第三者提供」とは？

まず個人情報とは、個人情報の保護に関する法律（以下、個人情報保護法）の中で以下のように定義されています。

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。）、または個人識別符号が含まれるもの。

引用元：個人情報の保護に関する法律（平成十五年法律第五十七号）第二条より

つまり、簡単に説明すると、生きている個人の氏名、生年月日など、個人を識別できる情報が「個人情報」となります。また、個人を特定できない情報でも、いくつかの情報の組み合わせにより特定に至る場合は、個人情報と定義されます。

さらに、個人情報を一括にまとめ、データ化したものを「個人データ」と呼びます。個人情報の第三者提供とは、これら個人データを第三者、つまり個人データを保有している事業者以外の業者や人に提供することを意味するのです。

第三者提供とは、この「個人データ」を自社以外の第三者に提供することを指します。

安全・高セキュリティな本人確認を実現！いま話題の「eKYC」をご存じですか？
→解説資料を無料でダウンロードする

ユーザー本人からの事前の同意が必要

私たちの大切な情報である個人データは、容易に取引されて良いものではありません。個人情報は個人の重大な財産であり、堅固に保持されるべきものです。

ただし、あらかじめ個人が自らの個人情報を第三者に提供しても良いと許可するのであれば、その限りではありません。この仕組みは、「オプトイン」と呼ばれます。

個人情報を第三者に提供する場合、ユーザー本人からの事前の同意が必須となるのです。

同意なしに第三者提供が可能なケース

上記では、「個人情報の開示はユーザー本人からの事前の同意が必要」と説明しました。しかし、この「事前の同意」なしに、個人データの第三者提供が可能なケースがあります。

• 法令に基づく場合
• 事前同意を求めることが不可能・困難な場合
• 「オプトアウト」の手続きをとっている場合

以下にて詳しく解説していきます。

法令に基づく場合

個人情報保護法により、法令に基づく場合は個人の同意なしに第三者への個人情報提供が可能となります。

たとえば、警察から事件捜査のために顧客情報の開示を求められた際、本人の許可なく個人情報の開示をすることができます。事後に本人から状況説明を求められた場合詳しく状況を説明できるよう、日時や開示内容の詳細、情報開示を求めた担当警察官の氏名や役職を明記した記録を作成しておきましょう。

事前同意を求めることが不可能・困難な場合

続いては、事前同意を求めることが不可能・困難な場合です。これは、救急性の伴う事件や事故に本人が遭遇した時に適応されます。

具体的に言うと、事件・事故に遭遇した本人が意識不明の時、医師や看護師に本人の氏名、年齢などの個人情報を開示しても良いという場合が挙げられます。

また、児童に対する虐待が疑われる時、本人や保護者に対する情報開示の許可をとらずとも、警察や学校、児童相談所で該当児童の情報を共有する場合もあるでしょう。

「オプトアウト」の手続きをとっている場合

前章で、事前に第三者への情報開示の許可をとる「オプトイン」について触れました。このオプトインに対して、情報開示以後に要請があった場合のみ情報開示を取り下げることを「オプトアウト」と言います。

オプトアウトでは、情報提供を求めるB社に対し、A社はオプトアウトの手続きを行えば、情報所有者に確認を行わなくても情報共有が行えます。

オプトアウト制度では、原則として個人の同意がなくても個人情報の開示をすることができます。ただし、悪質な情報流出のリスクを抑えるために、個人データを第三者に提供する場合は、あらかじめその事実を本人に通知するか、本人が簡単に知り得る状態に置く必要があります。加えて、個人情報保護委員会へ第三者に情報提供をする事実を届け出ることが必要です。

インターネットなど多くの人が見られる状況において、オプトアウトを行うことを公表しなければならないといった決まりもあります。また、届出内容は、個人情報保護委員会のホームページでも公表されます。

本人が知らない所で個人情報のやりとりがなされないよう、個人情報保護法で一定の定めがあります。オプトアウト制度を利用する場合は、必ず現行の個人情報保護法を確認するようにしましょう。

安全・高セキュリティな本人確認を実現！いま話題の「eKYC」をご存じですか？
→解説資料を無料でダウンロードする

第三者提供自体に問題はない

個人情報は、サービスの利便性の向上に役立てられています。たとえば、物販を行う企業において新商品が発売された時、購入意欲の高そうなユーザーにeメールやダイレクトメールなどで商品情報の配信を行うことができます。

その他にも、顧客情報の分析を行い新商品の開発に役立てたり、ユーザーからの使用感アンケートをとるために利用されたりもします。また、警察などの指示により個人情報の開示を行うと、事件やトラブル解決の一躍を担うこともできます。

情報は、私たち国民の利便性の向上や生活環境の改善のために使用されているのであり、情報の第三者提供自体に問題はありません。ユーザーに不利益のないように法整備も敷かれており、法律に準拠し個人情報をとり扱っていれば、特に問題視されることではないのです。

安全・高セキュリティな本人確認を実現！いま話題の「eKYC」をご存じですか？
→解説資料を無料でダウンロードする

トラブルのない第三者提供のためには

問題は、ユーザーの理解がないまま、同意に基づく情報の第三者提供が行われることです。このような事態になってしまうと、トラブルになりかねません。

トラブルのない第三者提供を行うためには、以下のようなことに気を付けましょう。

1. 第三者提供の範囲を明確にする
2. 自社および第三者での利用目的を特定する
3. ユーザー視点での分かりやすい説明

一つずつ、詳しく紹介していきます。

1.第三者提供の範囲を明確にする

情報を第三者に提供する際には、範囲を明確にする必要があります。ここで言う「範囲」とは、以下の3つです。

• 誰に情報開示するかの範囲
• 開示する情報の範囲
• 情報を開示する期間の範囲

情報開示の範囲を正確に把握していないと、後に大きなトラブルにつながります。誰に、何の情報を、いつ開示するのかを明確にし、その記録を残しておく必要があるでしょう。

情報を提供する事業者には、これらの必要な情報を記録し、一定期間保存する義務も設けられているのです。

2.自社および第三者での利用目的を特定する

個人データの自社内共有をする際には、利用目的を特定する必要があります。自社の社員間で顧客情報を共有する時、その利用目的をしっかりと分かってから開示しましょう。もちろん社内だけでなく、第三者に個人データを提供する際にも、利用目的を特定しておく必要があります。

利用目的の特定は、個人データの持ち主であるユーザーに利用規約などを理解してもらうためにも重要となるでしょう。また、利用規約などにまとめる際に、事実と異なる第三者提供情報をユーザーに共有してしまわないためでもあります。

3.ユーザー視点での分かりやすい説明

情報の第三者提供を行うことがある、という事実を、ユーザー視点で分かりやすい説明にまとめます。特に個人情報保護法に関する内容は、一見して分かりにくいことが多くあります。内容を分かりやすく、できるだけ短くまとめる必要があるのです。

情報管理において最もやってはいけないことは、「情報の第三者提供を行わないと理解させておいて、行うこと」です。また、「情報の第三者提供を行う事実を言わない」ことも、同等にやるべきではありません。利用規約を読み、第三者提供のポリシーに同意できないユーザーは、登録に至らず引き返してしまうかもしれません。しかし、後のトラブルにつながらないためにも、正直に明記しなければならないのです。

事実を端的に分かりやすく説明し、ユーザーに情報の第三者提供が行われる可能性があることを理解してもらった上で、登録やサービス利用を行ってもらうのが「同意」という重要なステップになります。

安全・高セキュリティな本人確認を実現！いま話題の「eKYC」をご存じですか？
→解説資料を無料でダウンロードする

第三者提供は「記録」が重要

ここまでご紹介してきた中で、「記録」という言葉がいくつか出てきました。情報の第三者提供を行うためには、数多くの事柄を記録する必要があります。

何故、記録が重要なのでしょうか。それは、情報がどのように収集され、どこから、どこに流れていったのかを可視化する必要があるからです。それらの考え方を「トレーサビリティ（追跡しやすさ）」と呼びます。

トレーサビリティの視点が取り入れられる前は、企業は情報がどこから来て、どのように扱われているのかを必ずしも理解している必要はありませんでした。そのことが仇となり、社会問題となった事例も過去にあります。トレーサビリティを実現するためには、以下のような事項を記録しておきましょう。

第三者提供時に記録しなくてはいけない事項

まずは、情報の第三者提供時に記録しなくてはいけない事項です。以下の表をみてみましょう。

本人の同意に基づく場合と、オプトアウトの場合では、「①個人データを提供した年月日 」と「⑤本人の同意を得ている旨」で差があります。一方、②③④は共通で記録しておかなければなりません。

記録の保存期間

上記で記録した情報は、以下の表の期間、保存しておかなければなりません。

出展：今さら聞けない個人情報保護法のＱ＆Ａ③

安全・高セキュリティな本人確認を実現！いま話題の「eKYC」をご存じですか？
→解説資料を無料でダウンロードする

違反をした場合のペナルティとは

「不正なルートから情報を得る」や「個人情報の利用目的を明記していない」など、事業者が個人情報保護法に違反をした場合、まず個人情報保護委員会から改善措置命令が出されます。その命令にも違反した場合、

• 違反した従業員に対して：1年以下の懲役または100万円以下の罰金
• 虚偽報告を行った場合：50万円以下の罰金

といった罰が課されます。また、2020年に個人情報保護法が改正された際、大幅に「法人への罰金」が増額されたことで話題となりました。改正前の法人への罰金額は個人と同等でしたが、改正後は「1億円以下の罰金」となっています。

また、この他にも、民事裁判での損害賠償を求められることも考えられます。

本人確認業務を委託する場合の注意点

個人情報を取り扱う事業者の中でも、インターネットで本人確認業務を行う「eKYC」事業者が、個人情報の第三者提供を行う場合もあります。

eKYCとは、「electronic Know Your Customer」の略称です。郵送や対面確認を行うKYCに、「電子的」という意味の「electronic」が付属した言葉です。eKYCを導入すると、オンライン上で本人確認が完了できることから、時間や手間の削減となりユーザー満足度の向上につながります。

eKYC事業者の第三者提供ポリシーをきちんと確認

本人確認業務を委託する際には、eKYC事業者の第三者情報提供ポリシーをしっかりと確認しましょう。多くの個人情報を取り扱う本人確認業務は、第三者への情報提供を行うこともあります。どのような第三者への情報提供ポリシーをもって業務を行っているのかを確認することで、安全に導入をすることができるでしょう。

また、心配なことがあれば、気軽にサービス提供者に連絡して確認することも必要です。第三者提供について明示していない事業者であれば、安心してサービスを利用することはできないと言えます。この記事で紹介したポイントを踏まえて、eKYCサービスに確認してみましょう。

安全・高セキュリティな本人確認を実現！いま話題の「eKYC」をご存じですか？
→解説資料を無料でダウンロードする

安全なeKYCなら「ネクスウェイ本人確認サービス」

安心安全にeKYCシステムを導入したいなら、「ネクスウェイ本人確認サービス」を検討しましょう。ネクスウェイ本人確認サービスは、高いセキュリティ水準とわかりやすい料金形態、本人確認業務をまとめてアウトソースできることから高く評価され多くの事業者に選ばれているeKYCサービスです。

→「ネクスウェイ本人確認サービス」の資料を見てみたい

まとめ

個人情報の第三者提供について詳しく解説いたしました。個人情報とは、生きている個人の氏名、生年月日など、個人を識別できる情報のことを言います。これら個人の重要な財産が守られるよう、個人情報保護法ではさまざまな施策が講じられています。

情報の第三者提供は、ユーザーの利便性向上のために行われます。決して悪いことではなく、問題視されるものではありません。ただし、情報の第三者提供を行う理由やその事実を隠したり、不明瞭なルートで個人情報を取り扱うことは、企業にとってもユーザーにとっても悪いことです。

企業がトラブルのない第三者提供を行うためには、ルールを知り、そのルールをしっかり守る必要があります。

個人情報を多く取り扱う本人確認業務の委託先を選択する時は、情報をどのように使うのか、範囲などのルールを明記している企業を選ぶようにしましょう。

→「ネクスウェイ本人確認サービス」の資料を見てみたい

＼eKYC事業者への個人情報委託を検討中の方必見／
はじめてのeKYC入門ガイド【無料ダウンロード】